Kolobos

W takim razie npisz gdzie dokladnie avast wykryl zainfekowany plik.

Masz ta sama infekcje co tutaj: Błąd/kod 39 we wszystkich kartach sieciowych - Fixitpc.pl - Strona 2 Raczej nie ma sensu tego naprawiac, skoro i tak nie ma pewnosci czy zadziala. Ale jak bardzo chcesz: Wykonaj CFScript.txt z combofix: Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "vclglfwc"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "vclglfwc"=- File:: c:\windows\System32\vclglfwc.exe FCopy:: c:\windows\system32\dllcache\ndis.sys | c:\windows\system32\drivers\ndis.sys Jezeli pliki sie nie usuna to uzyj OTLPE i przy jego pomocy usun te dwa pliki exe oraz podmien ndis. Nastepnie uruchom w trybie awaryjnym, wklej to do notatnika, zapisz jako fix.reg i uruchom: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS] "DisplayName"="Sterownik systemu NDIS" "ErrorControl"=dword:00000001 "Group"="NDIS Wrapper" "Start"=dword:00000000 "Type"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\MediaTypes] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\Parameters] "ProcessorAffinityMask"=dword:ffffffff [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\Enum] "0"="Root\\LEGACY_NDIS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Po dodaniu uruchom system normalnie. Wpisz w uruchom: sfc /scannow Jezeli siec dalej nie bedzie dzialac to wykonaj naprawe systemu z plyty instalacyjnej lub calkowita reinstalacje.

Sam jestes sobie winny, pisalem Ci, ze wystarczy jeden zainfekowany plik. Podalem Ci programy, miales przeskanowac dyski, jasno widac, ze tego nie zrobiles.

Daj logi z MbrCheck oraz TDSSKiller: http://ad13.geekstogo.com/MBRCheck.exe (nic w nim nie usuwaj nawet jezeli cos wykryje) How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)? Sciagnij nowa wersje combofix i daj nowy log. Ps. Staraj sie troche szybciej odpowiadac na posty, jezeli bedziesz odpowiadal co pare dni to nigdy nie usuniesz tej infekcji.

To kolejna pozostalosc po ArcaVirze.. Przeinstaluj sterowniki karty ULI tej bez abndis w nazwie, wejdz w jej wlasciwosci odznacz ptaszka przy "Abndis driver". Reszta kart z miniport w nazwie wylacz.

Jezeli juz jest ok, to w takim razie to juz wszystko.

Daj nowy log z OTL.

W mbam oczywiscie usuwasz to co wykrywa i po ponownym uruchomieniu znowu sie pojawia tak? Za brak netu podziekuj badziewnemu ArcaVir, ktory nawet odinstalowac sie nie potrafi poprawnie. Wpisz w uruchom: netsh winsock reset Jednak nie wiem czemu wyswietlil sie monit dotyczacy aktualizacji. W skrypt nic specjalnego nie robil. Problem ze screenem jest normalny. Uzyj np: SubEdit -> Plik -> Zapisz klatke filmu jako BMP lub AllPlayer -> F12. Zobacz czy BestPlayer ma podobna opcje w menu.

> ale ja się nie znam Nie musisz, wystarczy, ze przeczytasz nazwe wykrytej infekcji. Wpisz w uruchom: sc delete MalwareDefenderService W OTL wybierz sprzatanie. Zobacz czy Sality Killer zadziala oraz http://download.avgfree.com/filedir/util/avg_rem_sup.dir/rmsality/rmslt.exe

Po co Ci AVG? Wykonaj skrypt w OTL: :OTL SRV - [2011-02-22 10:01:52 | 000,090,968 | ---- | M] (360.cn) [Auto | Running] -- c:\Program Files\Malware Defender\mdservice.exe -- (MalwareDefenderService) DRV - File not found [File_System | Unknown | Running] -- -- (DwProt) DRV - File not found [Kernel | Unknown | Running] -- -- (asc3360pr) DRV - [2011-02-22 10:00:34 | 000,258,392 | ---- | M] (360.cn) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\gahmdjhm.sys -- (gahmdjhm) O4 - HKLM..\Run: [Malware Defender] c:\Program Files\Malware Defender\MalwareDefender.exe (360.cn) [2011-02-27 18:47:05 | 000,258,392 | ---- | C] (360.cn) -- C:\WINDOWS\System32\drivers\gahmdjhm.sys [2011-02-27 18:47:03 | 000,000,000 | ---D | C] -- C:\Program Files\Malware Defender [2011-02-27 18:47:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Malware Defender [2011-02-22 10:00:36 | 000,098,648 | ---- | C] (360.cn) -- C:\WINDOWS\System32\mdhook.dll [2011-02-27 18:47:03 | 000,001,669 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS\Pulpit\Malware Defender.lnk Po wykonaniu daj nowy log. Czy cureit juz nic nie wykrywa?

Miales dac nowy log z OTL, log z usuwania jest zbedny.

Nie wykonales w OTL skryptu, ktory podalem, wiec po co wklejasz ten bezuzyteczny log? Zapewne nie przeskanowales tez przy pomocy programu od AVG oraz ponownie cureit. Masz wykonac to co napisalem tutja: ctrl+alt+delete "Menedżer zadań został wyłączony przez administratora". - PurePC.pl - Forum Dyskusyjne nie bede Ci tego kolejny raz pisal. Jak juz wykonasz to daj nowy log z OTL. Ps. Sality Killer mozesz nie uzywac skoro sie zawiesza.

Sciagnij stad: salitykiller.zip pobierz za darmo - Hosting plików po uzyciu daj log z usuwania. Jak juz dasz nowy log z OTL to Ci podam skrypt, ktory usunie Malware Defender.

Tak jak myslalem, wirus Sality, ktory infekuje pliki exe. Uzyj: http://support.kaspersky.com/pl/downloads/common/salitykiller.zip AVG Free | Win32.Sality | Threat Removal Tool na koniec ponowny skan przy pomocy cureit. Pamietaj, ze wystarczy jeden zainfekowany plik i infekcja wroci. Jezeli nagrywales cos na plyty/pendrive to je rowniez sprawdz. Odinstaluj: SUPERAntiSpyware, Malware Defender, Conduit Engine. Jak juz pisalem wczesniej uzyj USBFix, opcja Vaccinate. Podlacz zainfekowane nosniki G i F i uzyj ponownie usbfix z opcja Deletion. Wykonaj skrypt w OTL: :OTL PRC - [2011-02-28 07:39:53 | 000,011,776 | ---- | M] () -- C:\Documents and Settings\czarek.PC-7CA71E1A2E3E\Ustawienia lokalne\Temp\lbksv.exe SRV - File not found [Auto | Stopped] -- -- (AVGIDSAgent) DRV - File not found [Kernel | On_Demand | Running] -- -- (asc3360pr) IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found O2 - BHO: (no name) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found. O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (no name) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - File not found O33 - MountPoints2\{7c7e7f4c-ee9e-11df-8c81-0060b349f820}\Shell\AuToplay\coMMand - "" = G:\smlmwb.exe O33 - MountPoints2\{7c7e7f4c-ee9e-11df-8c81-0060b349f820}\Shell\AutoRun\command - "" = G:\smlmwb.exe O33 - MountPoints2\{7c7e7f4c-ee9e-11df-8c81-0060b349f820}\Shell\EXpLOre\CoMmanD - "" = G:\smlmwb.exe O33 - MountPoints2\{7c7e7f4c-ee9e-11df-8c81-0060b349f820}\Shell\oPeN\COmmAnd - "" = G:\smlmwb.exe O33 - MountPoints2\{9eb208ac-e296-11df-8c7b-0060b349f820}\Shell\AutoPlay\COmmAnd - "" = F:\mtkg.exe O33 - MountPoints2\{9eb208ac-e296-11df-8c7b-0060b349f820}\Shell\AutoRun\command - "" = F:\mtkg.exe O33 - MountPoints2\{9eb208ac-e296-11df-8c7b-0060b349f820}\Shell\explore\CommANd - "" = F:\mtkg.exe O33 - MountPoints2\{9eb208ac-e296-11df-8c7b-0060b349f820}\Shell\oPEn\commanD - "" = F:\mtkg.exe O34 - HKLM BootExecute: (C:\PROGRA~1\AVG\AVG10\avgchsvx.exe /sync) - File not found O34 - HKLM BootExecute: (C:\PROGRA~1\AVG\AVG10\avgrsx.exe /sync /restart) - File not found [2011-02-23 18:20:58 | 000,000,000 | ---D | C] -- C:\Documents and Settings\czarek.PC-7CA71E1A2E3E\Ustawienia lokalne\Dane aplikacji\ConduitEngine [2011-02-23 18:20:54 | 000,000,000 | ---D | C] -- C:\Program Files\ConduitEngine [2011-02-23 18:20:45 | 000,000,000 | ---D | C] -- C:\Program Files\uTorrentBar [2011-02-21 17:21:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG10 [2011-02-21 17:20:47 | 000,000,000 | ---D | C] -- C:\Program Files\AVG Po wykonaniu daj nowy log.

Zmien nazwe na z c:\windows\system32\dllcache\ndis.bck na ndis.sys Sciagnij konsole odzyskiwania: http://www.microsoft.com/downloads/details.aspx?familyid=535D248D-5E10-49B5-B80C-0A0205368124&displaylang=pl po sciagnieciu przeciagnij plik na plik combofix.exe (tak jak cfscript) i daj nowy log z combofix. Jezeli combofix w dalszym ciagu nie naprawi ndis.sys to uruchom skrypt w OTL: :Files c:\windows\System32\drivers\ndis.sys C:\WINDOWS\System32\dllcache\ndis.sys|c:\windows\ServicePackFiles\i386\ndis.sys /replace Daj tez nowy log ze skanowania z OTL, przed skanowaniem do okna skryptu wklej: netsvcs msconfig safebootminimal safebootnetwork %systemdrive%\*.* /md5start agp440.sys atapi.sys beep.sys cdrom.sys ndis.sys winlogon.exe eventlog.dll /md5stop

Pierwszy lepszy link: Konsola Odzyskiwania w 2000/XP/2003 - Searchengines.pl W konsoli wpisz: move c:\windows\system32\dllcache\ndis.sys c:\windows\system32\dllcache\ndis.bck copy c:\windows\ServicePackFiles\i386\ndis.sys c:\windows\System32\drivers\ndis.sys copy c:\windows\ServicePackFiles\i386\ndis.sys c:\windows\system32\dllcache\ndis.sys Mozesz tez sprobowac zgrac recznie pod windows plik c:\windows\system32\dllcache\ndis.sys do c:\windows\System32\drivers\ndis.sys (lub uzyc Replacer - znajdziesz na google). Ten z dllcache wyglada ok.

Zrob skan przy pomocy cureit i daj nowy log z OTL.

Skrypt wykonaj bez tego: FCopy:: c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\System32\drivers\ndis.sys c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\system32\dllcache\ndis.sys Uruchom konsole odzyskiwania i recznie podmien c:\windows\System32\drivers\ndis.sys oraz c:\windows\system32\dllcache\ndis.sys na c:\windows\ServicePackFiles\i386\ndis.sys.

Popraw bledy! Probuje nie pisze sie przez u.. Czy chodzi Ci o: esent(3).dll, ktory jest kopia esent.dll ? Jezeli tak to odszukaj esent.dll, zrob jego kopie i zmien nazwe. Tutaj masz aktualizacje, ktora zawiera plik esent.dll jezeli go nie masz: Download details: Update for Windows XP (KB910437) o ile oczywiscie masz XP.

Wykonaj taki CFscript.txt z combofix: Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "vclglfwc"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "vclglfwc"=- File:: c:\windows\System32\vclglfwc.exe c:\documents and settings\Tomek\vclglfwc.exe FCopy:: c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\System32\drivers\ndis.sys c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\system32\dllcache\ndis.sys Po wykonaniu daj log, ktory sie utworzy (internet powinien juz dzialac). Nowy log z OTL. Daj tez log z: http://forums.majorgeeks.com/chaslang/files/Win32kDiag.exe Nie zaszkodza tez logi z MbrCheck oraz TDSSKiller: http://ad13.geekstogo.com/MBRCheck.exe How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

MSE -> Settings -> Real Time Protection odznacz "Turn on real time protection". Jezeli nie pomoze to odinstaluj MSE.

Daj log z combofix, moze przywroci automatycznie pliki systemowe, ktore usunales.

> więc je usunąłem Co DOKLADNIE usunales? Podaj lokalizacje oraz nazwy plikow. Dalej nie dales screenu z HdTune o ktory prosilem. Wpisz w uruchom: sfc /scannow

Czytaj dalej takie bzdury na jakiejs falszywej stronie zrobionej tylko dla reklam. Przeinstaluj oprogramowanie od BT Toshiby i skoncz wymyslac. Problem nie ma zwiazku z tematyka tego dzialu i nie mam zmiaru Ci tego pisac kolejny raz.

Skad masz takie informacje? Oba pliki sa czescia oprogramowania BT od Toshiby i jak juz napisalem nie ma to zwiazku z tematyka tego dzialu.